Európai biztonsági kutatók új sérülékenységeket fedeztek fel az e-mail titkosítási protokollokban. A kutatók által végrehajtott hackertámadás lehetővé teszi rosszindulatú kódok beágyazását az elfogott e-mailekbe és a titkosítási protokoll megkerülését. A rosszindulatú kód lehetővé teszi a hackerek számára, hogy ellopják az összes információt az „Inbox” mappában lévő üzenetekből.
A biztonsági rés a két leggyakoribb e-mail titkosítási protokollt, a PGP-t és az S/MIME-t érinti. A sérülékenység egyenesbe kerülésének tendenciája a protokollok segítségével való védelem megvalósításának mértékétől függ. Sok postafiók ma már sebezhető, többek között Apple Mail, a Mail alkalmazás iOS-hez és Mozilla Thunderbird. Nevezetesen, sok üzenet-hitelesítési rendszer hatékonyan blokkolja a támadást.
Olvassa el még: A Chrome OS Emulator már elérhető itt Android tanulmány
Ha egy titkosított e-mailt továbbítás közben elfognak, a támadó kihasználhatja az e-mailek biztonsági rését, és rosszindulatú HTML-kódot adhat hozzá. Amikor az áldozat megnyitja az e-mailt, a rosszindulatú kód felhasználható a szöveg visszaküldésére.
Olvassa el még: Pletykák egy újról Huawei Watch 2 (2018)
Sok vállalati szerver ma már S/MIME titkosítást használ, így a sérülékenység komoly kockázatot jelent a @mail szolgáltatók számára.
Gyakorlati szempontból azonban a tanulság a következő: nincs olyan, hogy „elméleti sebezhetőség”. Vannak kihasználható biztonsági rések, és olyan sebezhetőségek, amelyeket még nem használtak ki. Olyan rendszereket kell építenünk, amilyeneket felismerünk. 16/16
- Matthew Green (@ matthew_d_green) May 14, 2018
Sebastian Schinzel, a Münsteri Alkalmazott Tudományok Egyetemének professzora a Twitteren leírta a problémát, és arra figyelmeztetett, hogy "jelenleg nincs mód ennek a sérülékenységnek a kijavítására". A professzor azt javasolja a szolgáltatóknak, hogy tiltsák le az adattitkosítást PGP, S/MIME használatával, és használjanak másokat. Az Electronic Frontier Foundation "ideiglenes, konzervatív intézkedésnek" nevezi a professzor módszerét, amíg a kutatók nem találnak módot a sebezhetőség kijavítására.
Forrás: theverge.com